平台被曝明文收集助记词引众怒
近日,慢雾安全团队联合研究员ZachXBT发现,某官方页面存在要求用户直接输入12个单词恢复短语的异常行为。该服务属于即将于2026年3月31日终止运营的Coinbase Commerce商务工具。目前平台已确认介入调查,但尚未发布正式回应。社区普遍认为此举构成高危社会工程学风险,极易诱导用户泄露核心密钥。
安全机构紧急预警潜在威胁
周四,多位区块链安全专家指出,该页面引导用户将助记词粘贴至网页表单,用于从自托管钱包中提取资金。这一流程与主流安全实践严重背离。慢雾创始人余弦强调,此类操作“极不安全”,一旦被黑客复制,将极大增加用户资产被盗的可能性。当前平台正推进相关业务迁移,但遗留系统仍存隐患。
业内共识明确:助记词绝不可向任何第三方网站或应用提供,即便界面设计看似权威可信,也应保持高度警惕。
官方文档暴露架构风险
涉事指引曾作为官方帮助中心内容长期存在。最新监测显示,部分文档已开始下架或修改。研究人员警告,这种标准化的恢复流程极易被仿冒,攻击者可借此构建虚假官网,伪装成合法服务诱导用户输入敏感信息。
尽管平台未公开说明原因,其官方文档仍坚持声明商务钱包为自托管性质,用户需独立承担资金管理责任。这一矛盾表述加剧了公众对为何设置在线助记词输入功能的质疑。
社区呼吁立即采取防范措施
加密领域普遍建议用户杜绝在非信任环境输入助记词。随着旧版服务将于本月底正式停用,用户更应加强识别能力,避免因非常规恢复方式导致不可逆的资金损失。